+- Bronies.cz (https://bronies.cz)
+-- Fórum: Bronies.cz (https://bronies.cz/Forum-Bronies-cz)
+--- Fórum: Dotazy, připomínky a návrhy (https://bronies.cz/Forum-Dotazy-pripominky-a-navrhy)
+--- Téma: Připomínky a návrhy k obsahu Bronies.cz (/Vlakno-Pripominky-a-navrhy-k-obsahu-Bronies-cz)
Stran:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
RE: Připomínky a návrhy k obsahu Bronies.cz - Alkel u3 - 17.12.2015
IIRC není problém s certifikátem, nýbrž s vlastní veřejnou adresou, která je k tomu potřeba - jestli si to dobře pamatuju, vlastní certifikát "zdarma" vyjde prakticky na stejné peníze, jako tohle řešení.
RE: Připomínky a návrhy k obsahu Bronies.cz - Jamis - 17.12.2015
@LunoOndra: klidně můžem
i když v případě tvého příspěvku si nejsem jist, zda se jedná o neznalost, nebo o prudu... Takže od začátku, protože jsi evidentně v tomhle vlákně ani jinde na fóru po informacích na tohle téma nepátral - jinak by ses (doufám) ptal jinak:Důvěryhodný https certifikát jsem prosazoval od doby, co jsem přišel na fórum. Nicméně na jeho nasazení došlo až později. Nejprve se hosting přesunul z Awanhilova soukromého serveru na komerční hosting (kde v tu dobu už běžely stránky např. czequestria.cz) a měli jsme s ním dobré zkušenosti - zároveň se tím vyřešily další věci, jako např. e-mail hosting, hosting domén atd. na jedno místo. Upgrade na https verzi jsme provedli spolu s upgradem na novou verzi fóra (která se taky hodně dlouho odkládala). Takže ty velké změny proběhly v rychlém sledu, když admini měli dost času je provést.
Hosting máme u active24.cz (to sis předpokládám zjistil) - důvodů bylo víc, jedním z nich bylo zjednodušení celého systému a reference, které jsme na hosting dostali (shitstorm o tom, že jiný hosting je samozřejmě lepší, prosím do jiného vlákna), teď co se certifikátu týče:
1) Certifikát jsi prozkoumával, takže víš, že má platnost jeden rok od 23.4.2015 - pokud ti to není známo, tak Let's Encrypt v té době nefungoval a v současné době (od 3.12.2015) je stále v režimu public beta.
2) StartSSL je samozřejmě možnost, která existovala i tenkrát - nicméně pokud hosting nepodporuje SNI (což byl i případ active24 v té době na našem typu hostingu), tak bylo nutno mít k https certifikátu také vlastní veřejnou IP adresu. Takže jsme klidně mohli mít důvěryhodný certifikát od StartSSL, nicméně nasazení vlastního certifikátu na active24 hosting bylo zpoplatněno stejnou částkou, jako koupě certifikátu, který teď máme a který používáme. Ten samý postup se týká i důvodu proč certifikát stejného typu má i czequestria.cz
A než se tu rozvíří diskuze na příbuzné téma "proč mi prohlížeč přesto hlásí nezabezpečené prvky na stránce", tak vězte, že jde o o obsah (převážně obrázky, včetně avatarů), které jsou načítány skrze nezabezpečené http z jiných serverů (typicky image hostingy). Jistě by se to dalo zakázat, ale přineslo by to víc problémů než užitku.
RE: Připomínky a návrhy k obsahu Bronies.cz - LunoOndra - 17.12.2015
At Jamis:
Spíše o neznalost, nepátral jsem po celém fóru. (Tím se také omlouvám, jestli příspěvek zněl útočně - tak to rozhodně nebylo myšleno.)
Já důvěryhodné HTTPS certifikáty prosazuju také všude kam přijdu.
Ano, vím, že Let's Encrypt v té době nefungoval - spíše si myslím, jestli to není dobré řešení do budoucna... Jinak si u toho Active24 nejsem jistý, ale SNI mám pocit podporuje - možná to v té době bylo jinak.
Co se týče obsahu - dal bych někam při přidávání příspěvků prosbu o přidávání obrázků přes https adresu. Ony to skoro všechny image hostingy umí, akorád se tam musí místo http napsat https, vypadalo by to pak lépe (potom taky, možná by stálo za to najít možná plugin, který by nahrazoval http za https v příspěvcích automaticky, pokud by to šlo...)
Jinak díky za objasnění.
Mimochodem, když už tu běží to DNSSEC, což takhle tam přidat i TLSA záznam... Viz https://www.huque.com/bin/gen_tlsa
RE: Připomínky a návrhy k obsahu Bronies.cz - Jamis - 17.12.2015
Ohledně https certifikátů tady se vedly dost bouřlivé diskuze - ať už na fóru, nebo třeba na IRC. Zbyla z toho v některých věcech hlavně pachuť, protože třeba někteří nechápali, proč neměníme hosting pokaždé, když se objeví nějaká akční nabídka, nebo proč fórum neběží na jejich serveru z vyřazeného PC železa někde u nich doma pod stolem... a tak podobně. Navíc pro drtivou většinu uživatelů to nepřineslo žádný rozdíl (protože prostě neví, jak moc velký je to rozdíl) a některým problémy: občas píšou lidi, že jim prohlížeč hlásí nedůvěryhodný certifikát na bronies.cz - obvykle protože jsou někde za firewallem, který kontroluje obsah HTTPS (který funguje v podstatě stejně jako MITM). A další věci (ty vkládané obrázky jsou jen špička ledovce), které vnímají pozitivně spíš jen lidé znalí problematiky a pro ostatní jde jen o omezení navíc.
Let's Encrypt sleduju (protože se to týká i mé profese), nicméně stále vyčkávám, jak se to bude celé vyvíjet. Jelikož se jedná pouze o Domain Validated ověření s vysokou mírou automatizace, může to dost zamávat systémem důvěry ve vydávané certifikáty a způsobem, jakým uživatelé vnímají důvěryhodné HTTPS. SNI u Active24 tehdy fungovalo pokud vím pouze na Windows hostingu - my používáme jako podkladový OS Linux (protože jde o multi-webhosting s podporou PHP a MySQL), teď by mělo fungovat SNI i pro Linux webhosting (minimálně tak funguje teď s možností instalovat self-signed certifikát zdarma, což se hodí tak pro administraci CMS, ale ne pro uživatelský přístup). Jelikož se Active24 chlubilo (jako další), že podporu Let's Encrypt certifikátům svým zákazníkům bezplatně zavedou, vyčkáváme, jak se situace vyvine - stále máme ještě cca 5 měsíců čas, než současný certifikát vyprší.
Ohledně obsahu - ano, tak by to šlo, celá věc vynucení https má několik nemalých háčků:
* přijdeme o historii, protože mnoho obsahu sem bylo nalinkováno přes http, což ručně autoři předělávat nebudou a zautomatizovat se to dá jen do určité míry
* pro nové linky je to jistě možné, ovšem zda existuje plugin, který dovede otestovat, zda je zadaný ten samý obrázek dostupný i přes https, nevím
* zakázat http obecně linkování obsahu mi přijde v případě místního fóra trochu přitažené za vlasy (byť vím, co to může mít v extrémních případech za následky)
* nejde ani tak o technický, jako spíš lidský problém - běžné uživatele to bude otravovat a přidanou hodnotu zabezpečení příliš neocení (bez urážky)
ad TLSA: Jistě
ono takových nedodělávek je tu mnoho, protože v posledních letech má admin/mod tým další cíle s vyšší prioritou: jako například udržování fóra v chodu, moderování, změny struktury fóra, pořádání setkání, conů, programu na conech, školu, zaměstnání a taky trochu soukromý život takže všechny tyhle věci, byť jsou to krátkočasové úkoly, se řeší postupně, často bez publicity, takže to může navenek vypadat, že se "zas tak moc neděje". Jinak díky za připomenutí - připíšu si to na seznam poté, co se z toho organizačního maratonu trochu zotavím 
RE: Připomínky a návrhy k obsahu Bronies.cz - LunoOndra - 17.12.2015
A úplně k jinému tématu - všiml si někdo hlášky zde?
https://bronies.cz/Vlakno-Vase-fotka?page=480Jinak já samozřejmě ty důvody běžného uživatele chápu, ale stejnak bych se na to (až bude chvilka času) nějak podíval, přece jenom, potom je to HTTPS někde i zbytečné (nehledě na to, že hlavní problém jsou ustom cavatary - tam bych https stritkně prostě vyžadoval)
RE: Připomínky a návrhy k obsahu Bronies.cz - RayCode - 29.01.2016
Čaute,
Jelikož už skončila s5 a bude začínat s6, mohla by už být založená sekce pro 6. sezónu pro diskuzi? (Už byly uvěřejněny i spoilery
)
Re: Připomínky a návrhy k obsahu Bronies.cz - AleXan - 30.01.2016
@LunoOndra: Mne beží avatar, ako PHP skript (vďaka ti madA) na "mojom" serveri ktorý https ale nepodporuje. A nepoznám nejakú službu čo im dáš skript a budú ti ho zadarmo poskytovať. Takže ja by som mal problém.
RE: Připomínky a návrhy k obsahu Bronies.cz - Jakluk - 31.01.2016
Momentálně je nasazen plugin, který nahrazuje zdroj obrázků http->https u vybraných serverů, kde je potvrzená jejich funkčnost. Mezi nimi je např. také Imgur nebo Deviantart, takže většina uživatelských obrázků je načítána zabezpečeně.
Je připravena i část, která by ostatní obrázky nahrazovala linkem (tak, aby se na něj dalo kliknout i u avataru), ale zatím není v plánu ji uvádět do provozu.
RE: Připomínky a návrhy k obsahu Bronies.cz - Intrix - 15.02.2016
Neděje se něco se serverem? Dneska mi celej den přijde forum nějaký zadejchaný
RE: Připomínky a návrhy k obsahu Bronies.cz - Fang - 15.02.2016
Nepřišlo mi, že by forum přes den nějak zpomalovalo.