Bronies.cz

Úplná verze: Připomínky a návrhy k obsahu Bronies.cz
Prohlížíte si holou variantu vašeho obsahu. Prohlédněte si plnou verzi s příslušným formátováním.
Více vypovídající by byly spíše derivace těch křivek. Ale to už by chtělo brutálnější sílu, než screenshot... Pinkiesmile
Zdravím,
může mi někdo vysvětlit, proč platíte drahý SSL certifikát od GeoTrust? Pokud vím, existuje variant zdarma - StarSSL a nyní již i třeba LetsEncrypt (ale to by se muselo asi domluvit u hostingu což)... No prostě mi to přijdou jako zbytečně vyhozené peníze za něco, co může být zdarma - ty penízky se můžou využít jinde Twilightsmile
IIRC není problém s certifikátem, nýbrž s vlastní veřejnou adresou, která je k tomu potřeba - jestli si to dobře pamatuju, vlastní certifikát "zdarma" vyjde prakticky na stejné peníze, jako tohle řešení.
@LunoOndra: klidně můžem Pinkiesmile i když v případě tvého příspěvku si nejsem jist, zda se jedná o neznalost, nebo o prudu... Takže od začátku, protože jsi evidentně v tomhle vlákně ani jinde na fóru po informacích na tohle téma nepátral - jinak by ses (doufám) ptal jinak:

Důvěryhodný https certifikát jsem prosazoval od doby, co jsem přišel na fórum. Nicméně na jeho nasazení došlo až později. Nejprve se hosting přesunul z Awanhilova soukromého serveru na komerční hosting (kde v tu dobu už běžely stránky např. czequestria.cz) a měli jsme s ním dobré zkušenosti - zároveň se tím vyřešily další věci, jako např. e-mail hosting, hosting domén atd. na jedno místo. Upgrade na https verzi jsme provedli spolu s upgradem na novou verzi fóra (která se taky hodně dlouho odkládala). Takže ty velké změny proběhly v rychlém sledu, když admini měli dost času je provést.

Hosting máme u active24.cz (to sis předpokládám zjistil) - důvodů bylo víc, jedním z nich bylo zjednodušení celého systému a reference, které jsme na hosting dostali (shitstorm o tom, že jiný hosting je samozřejmě lepší, prosím do jiného vlákna), teď co se certifikátu týče:

1) Certifikát jsi prozkoumával, takže víš, že má platnost jeden rok od 23.4.2015 - pokud ti to není známo, tak Let's Encrypt v té době nefungoval a v současné době (od 3.12.2015) je stále v režimu public beta.

2) StartSSL je samozřejmě možnost, která existovala i tenkrát - nicméně pokud hosting nepodporuje SNI (což byl i případ active24 v té době na našem typu hostingu), tak bylo nutno mít k https certifikátu také vlastní veřejnou IP adresu. Takže jsme klidně mohli mít důvěryhodný certifikát od StartSSL, nicméně nasazení vlastního certifikátu na active24 hosting bylo zpoplatněno stejnou částkou, jako koupě certifikátu, který teď máme a který používáme. Ten samý postup se týká i důvodu proč certifikát stejného typu má i czequestria.cz


A než se tu rozvíří diskuze na příbuzné téma "proč mi prohlížeč přesto hlásí nezabezpečené prvky na stránce", tak vězte, že jde o o obsah (převážně obrázky, včetně avatarů), které jsou načítány skrze nezabezpečené http z jiných serverů (typicky image hostingy). Jistě by se to dalo zakázat, ale přineslo by to víc problémů než užitku.
At Jamis:
Spíše o neznalost, nepátral jsem po celém fóru. (Tím se také omlouvám, jestli příspěvek zněl útočně - tak to rozhodně nebylo myšleno.)
Já důvěryhodné HTTPS certifikáty prosazuju také všude kam přijdu.

Ano, vím, že Let's Encrypt v té době nefungoval - spíše si myslím, jestli to není dobré řešení do budoucna... Jinak si u toho Active24 nejsem jistý, ale SNI mám pocit podporuje - možná to v té době bylo jinak.

Co se týče obsahu - dal bych někam při přidávání příspěvků prosbu o přidávání obrázků přes https adresu. Ony to skoro všechny image hostingy umí, akorád se tam musí místo http napsat https, vypadalo by to pak lépe (potom taky, možná by stálo za to najít možná plugin, který by nahrazoval http za https v příspěvcích automaticky, pokud by to šlo...)

Jinak díky za objasnění.

Mimochodem, když už tu běží to DNSSEC, což takhle tam přidat i TLSA záznam... Viz https://www.huque.com/bin/gen_tlsa
Ohledně https certifikátů tady se vedly dost bouřlivé diskuze - ať už na fóru, nebo třeba na IRC. Zbyla z toho v některých věcech hlavně pachuť, protože třeba někteří nechápali, proč neměníme hosting pokaždé, když se objeví nějaká akční nabídka, nebo proč fórum neběží na jejich serveru z vyřazeného PC železa někde u nich doma pod stolem... a tak podobně. Navíc pro drtivou většinu uživatelů to nepřineslo žádný rozdíl (protože prostě neví, jak moc velký je to rozdíl) a některým problémy: občas píšou lidi, že jim prohlížeč hlásí nedůvěryhodný certifikát na bronies.cz - obvykle protože jsou někde za firewallem, který kontroluje obsah HTTPS (který funguje v podstatě stejně jako MITM). A další věci (ty vkládané obrázky jsou jen špička ledovce), které vnímají pozitivně spíš jen lidé znalí problematiky a pro ostatní jde jen o omezení navíc.

Let's Encrypt sleduju (protože se to týká i mé profese), nicméně stále vyčkávám, jak se to bude celé vyvíjet. Jelikož se jedná pouze o Domain Validated ověření s vysokou mírou automatizace, může to dost zamávat systémem důvěry ve vydávané certifikáty a způsobem, jakým uživatelé vnímají důvěryhodné HTTPS. SNI u Active24 tehdy fungovalo pokud vím pouze na Windows hostingu - my používáme jako podkladový OS Linux (protože jde o multi-webhosting s podporou PHP a MySQL), teď by mělo fungovat SNI i pro Linux webhosting (minimálně tak funguje teď s možností instalovat self-signed certifikát zdarma, což se hodí tak pro administraci CMS, ale ne pro uživatelský přístup). Jelikož se Active24 chlubilo (jako další), že podporu Let's Encrypt certifikátům svým zákazníkům bezplatně zavedou, vyčkáváme, jak se situace vyvine - stále máme ještě cca 5 měsíců čas, než současný certifikát vyprší.

Ohledně obsahu - ano, tak by to šlo, celá věc vynucení https má několik nemalých háčků:

* přijdeme o historii, protože mnoho obsahu sem bylo nalinkováno přes http, což ručně autoři předělávat nebudou a zautomatizovat se to dá jen do určité míry
* pro nové linky je to jistě možné, ovšem zda existuje plugin, který dovede otestovat, zda je zadaný ten samý obrázek dostupný i přes https, nevím
* zakázat http obecně linkování obsahu mi přijde v případě místního fóra trochu přitažené za vlasy (byť vím, co to může mít v extrémních případech za následky)
* nejde ani tak o technický, jako spíš lidský problém - běžné uživatele to bude otravovat a přidanou hodnotu zabezpečení příliš neocení (bez urážky)


ad TLSA: Jistě Pinkiesmile ono takových nedodělávek je tu mnoho, protože v posledních letech má admin/mod tým další cíle s vyšší prioritou: jako například udržování fóra v chodu, moderování, změny struktury fóra, pořádání setkání, conů, programu na conech, školu, zaměstnání a taky trochu soukromý život Pinkiesmile takže všechny tyhle věci, byť jsou to krátkočasové úkoly, se řeší postupně, často bez publicity, takže to může navenek vypadat, že se "zas tak moc neděje". Jinak díky za připomenutí - připíšu si to na seznam poté, co se z toho organizačního maratonu trochu zotavím Twilightsmile
A úplně k jinému tématu - všiml si někdo hlášky zde? Rainbowlaugh https://bronies.cz/Vlakno-Vase-fotka?page=480

Jinak já samozřejmě ty důvody běžného uživatele chápu, ale stejnak bych se na to (až bude chvilka času) nějak podíval, přece jenom, potom je to HTTPS někde i zbytečné (nehledě na to, že hlavní problém jsou ustom cavatary - tam bych https stritkně prostě vyžadoval)
Čaute,
Jelikož už skončila s5 a bude začínat s6, mohla by už být založená sekce pro 6. sezónu pro diskuzi? (Už byly uvěřejněny i spoilery Rainbowlaugh )
@LunoOndra: Mne beží avatar, ako PHP skript (vďaka ti madA) na "mojom" serveri ktorý https ale nepodporuje. A nepoznám nejakú službu čo im dáš skript a budú ti ho zadarmo poskytovať. Takže ja by som mal problém.
Momentálně je nasazen plugin, který nahrazuje zdroj obrázků http->https u vybraných serverů, kde je potvrzená jejich funkčnost. Mezi nimi je např. také Imgur nebo Deviantart, takže většina uživatelských obrázků je načítána zabezpečeně.

Je připravena i část, která by ostatní obrázky nahrazovala linkem (tak, aby se na něj dalo kliknout i u avataru), ale zatím není v plánu ji uvádět do provozu.