Единый форум поддержки

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Единый форум поддержки » Информация сервиса » Поддержка HTTPS


Поддержка HTTPS

Сообщений 321 страница 340 из 351

1

Интегрирую постепенно сертификаты на форумы, чтобы обеспечить их работу по HTTPS.
Полного переезда на HTTPS для всего сервиса не планируются. Форумы будут работать и по HTTP и по HTTPS. Но поисковикам будет приоритет именно на HTTPS версию.
Однако, отдельные форумы могут переехать на HTTPS по своему желанию, планирую добавить соответствующую опцию в настройки.

Плюсы у HTTPS относительно HTTP следующие:
1. Большая защищенность. Как побочный эффект, провайдеры не могут добавлять свою рекламу в HTTPS версию. Как минимум, добавлением рекламы грешат ростелеком и мегафон.
2. Отсутствие надписи "не защищено" в браузерах. Некоторых новых пользователей такая надпись может отпугивать.
3. Поисковики (google точно) выше ранжируют HTTPS сайты. Выигрыш незначительный, это один из сотен факторов ранжирования, но он несомненно присутствует.
4. Работа по протоколу HTTP/2, который позволяет в некоторых случаях быстрее загружать страницу даже несмотря на её шифрование.
5. Более точная статистика (в метрике яндекса, аналитике гугла, или любого другого сервиса). Трафик с https сайтов на http форум считается прямым, а не реферальным.

Возможно уже и ваш сайт работает по https, просто введите в адресной строке браузера https:// перед именем форума и смотрите. Вероятно, чтобы браузер признал сайт безопасным необходимо будет в стилях и некоторых скриптах менять ссылки. Они находятся не в коде форума, поэтому невозможно поменять автоматически. Если же делать скрипт и менять все залитые css/js файлы, то есть риск что-нибудь сломать.

В админке следующие опции:
1. HTTPS для поисковиков. При выборе этого варианта на каждой странице добавляется canonical с https версией. Соответственнно, поисковики по мере индексации будут сохранять именно https страницу и через какое-то время в поисковиках останется только HTTPS версия сайта. Вероятно, этот вариант эквивалентен переезду сайта из яндекс.вебмастер или изменению адреса в google search console.
2. Переадресовать на HTTPS. Здесь всё просто, включается перенаправление на https версию. Но нужно уточнить, используется код 302, а не 301. По идее, в данном случае нужно 301 использовать, но тогда и браузер запоминает перенаправление, а это может быть чревато, если администратор просто экспериментирует с настройками.
3. HTTP. Оставить всё как есть, никаких canonical, никаких перенаправлений.

+16

321

https://mybb.ru/partner/manual/
После добавления в dns записей, как там указано, просто подождать в течении суток.

+1

322

https://forumupload.ru/uploads/0000/14/1c/37555/t864323.png

вроде все правильно, будем ждать.  :flag:

0

323

Так... Я не обратил внимания, в какой момент это появилось, потому что в основном я работаю с форумом, на котором HTTPS включён на полную. Я вообще бы заставил все форумы работать через HTTPS, но да ладно, всему своё время...

Работаю я сейчас с сайтом, на котором люди сидят, в основном, через HTTP, тогда как я привык делать все ссылки на HTTPS, если есть такая возможность... Но оказывается, у меня её нет! И хотя все серивисы mybb, вроде как, должны работать правильно с HTTPS, они зачем-то нарочно работают неправильно.

Я пропустил августовское обсуждение этой темы, уж больно коротким оно получилось, а я развлекался тогда в другой области... Заметь это, я бы сразу сказал, что подобные автозамены — это большой простор для ошибок и дыр в безопасности... И я не не прав бы оказался, как я выяснил буквально сегодня.

Итак...

Картина 1. Мой файл исходников с дополнительным стилем, который загружается с https://forumstatic.ru

https://i.imgur.com/unjccau.png

Картина 2. Вставляю стиль в HTTPS-версию админки

Потому что, как я сказал, я стараюсь использовать https везде, где только можно, 2021 год на дворе как бы...

https://i.imgur.com/piEK7Vy.png

Картина 3. Проверяю стиль в HTTP-версии админки

Автозамена... Окей, пускай... Хотя я всё равно категорически не понимаю, зачем это делать. ВСЁ, что грузится через HTTPS с HTTP-источника будет работать нормально, до тех пор пока браузеры считают это безопасным, а они довольно лояльны. Вот наоборот, да, не заработает: HTTP-таблица или скрипт не загрузятся с HTTPS-источника, и это, в принципе, правильно, а HTTPS-картинки снимут "замочек".

https://i.imgur.com/q6TTRLU.png

Картина 4. Итоговая таблица стилей через HTTP

См. подпись к картинке 3, почему я считаю эту замену не нужной.

https://i.imgur.com/KA3Plaa.png

Картина 5. Итоговая таблица стилей через HTTPS

https://i.imgur.com/tpazyVz.png

И вот она ошибка, которую, я удивлён, никто до сих пор не обнаружил. Автомат заменил HTTPS на HTTP... И не заменил обратно, из-за чего эта таблица стилей с некоторыми общими элементами тупо не загрузилась.

Я понимаю, что это, скорее всего, просто баг... Но я бы поднял на обсуждение, нужна ли вообще эта автозамена, и попросил бы хотя бы сделать её опциональной.

Могу сказать сразу, что такая проблема есть и с файлами, загруженными в админку:

Пруф проблемы с файлами админки

https://i.imgur.com/6piTiCc.png

https://i.imgur.com/1kZ3TS3.png

+4

324

kozhilya
А вот разве файлы с неявным указанием HTTP-HTTPS не автопреобразуются в ссылки с той же приставкой, по какому протоколу выполнен вход на форум ?
Например: //forum.mybb.ru/ ?
Kernel вроде сказал в ответе на такой  вопрос что якобы портятся какие-то пользовательские скрипты при этом(я таких актуальных не обнаружил, и если бы появились вопросы(по таким скриптам) думаю свои и Alex_63 смог бы поправить за пару минут...

Отредактировано Deff (Ср, 5 Май 2021 12:09:40)

+1

325

Deff
Не, я понимаю, что это решение проблемы, но это не значит, что о весьма заметном баге не стоит сообщать, и что его надо оставлять так, как есть.

Кроме того, разработчики Google Chrome рекомендуют использовать HTTPS везде:

Now that SSL is encouraged for everyone and doesn’t have performance concerns, this technique is now an anti-pattern. If the asset you need is available on SSL, then always use the https:// asset.


Сейчас, когда SSL рекомендуется всем и не имеет проблем с производительностью, этот подход [ссылки с относительным протоколом] теперь является анти-паттерном. Если выши ассеты доступны по SSL, всегда используйте ассеты через https://

Отредактировано kozhilya (Ср, 5 Май 2021 12:16:31)

+1

326

Соглашусь, что обратная замена https на http - довольно спорная по своей сути.
В основном также сижу на форумах, которые целиком на хттпс, но на своей техподдержке иногда по тех-причинам нужно висеть на хттп, и недавно столкнулся с какой-то необратимой автоматически конвертацией хттпс в хттп, то ли глюк, то ли я сам случайно так сохранил и не заметил. И потом не сразу понял, почему на хттпс-версии файлы не хотели воскресать. Проблема решалась заходом в свой стиль и повторным сохранением страницы, но такие скачки "в обратную" не очень удобны и порождают очень своеобразные коллизии.

Отредактировано Arakhen (Ср, 5 Май 2021 13:40:34)

+2

327

На определенном этапе я вводил https для всех этих наших статических адресов. Сразу же объявился наш tartar1, поскольку у него windows xp и принципиальная позиция использовать необновляемый и не поддерживаемый хром, где не поддерживаются современные сертификаты. В общем-то, он был не один, таких пострадавших было несколько. Судя по статистике посещаемости форумов их действительно не так уж мало, около 1%. После этого делал использование //, тогда сломались некоторые скрипты. Поэтому, в конце концов, пришлось верстать всё назад. Могу опять сделать //, проверим, живы ли еще те скрипты. Можно и https попробовать, сертификаты я с тех пор переделал, они стали больше и медленнее, зато поддержка старых браузеров лучше.

+2

328

kernel написал(а):

Могу опять сделать //, проверим, живы ли еще те скрипты.

Если можно попробовать, было бы неплохо... По сути тут со ссылками скрипты Мои, Alex_63 и немножко Romych ... (Неплохо бы его свистнуть ко времени смены на // - там у него мало, но востребованные коды по музыке-видео )  :flag:

Свои - Alex - я думаю смогу поправить не меняя ссылок

Отредактировано Deff (Чт, 6 Май 2021 21:29:19)

0

329

kernel
*Ворчит, что вечно 1% всё портит*

Может быть сделать для такой фигни какой-то условный параметр ?force_http=1, и дать возможность тем форумам, где этот 1% обитает, проставить этот флаг? Это и сэкономит немного мощностей forumstatic, который не будет заниматься автозаменами на тех форумах, где это не надо?

Ну потому что используя // мы наткнёмся на ситуацию, когда нам надо в HTTPS-окружении использовать внешний ресурс, у которого тупо нет HTTPS (это, конечно, редкость, но всё же), и у нас это не получится из-за относительности к протоколу.

0

330

kozhilya
Тут такой вопрос: Нужно ли стремится к сегрегации этого 1%, или таки наоборот больше бороться за любого пользователя ?
Ибо за последние три года число активных форумок снизилось втрое!!!  Тут нужны иные фичи больше не технического вылизования, чтобы сервис был идеален по новейшим фичам, а к примеру та же монетизация добавила бы форумков вдвое! Кому нужен идеальный сервис под новейшие браузеры без пользователей ? Имхо рестрикции можно делать на растущей насыщенности пользователем. На падающем тренде всё это ток усугубляет

2-е Какие-то популярные коды, отсутствующие на иных сервисах с форумами... Ну например: Одно время скрипт Ёлки с подарками к НГ перетащил с укоза более трёхсот форумов на mybb
Ксать одно время скрипты Ромыч по аудио-видео тоже привлекли много пользователей с иных сервисов...

Отредактировано Deff (Чт, 6 Май 2021 22:52:50)

+1

331

Deff
Я не прошу сегрегации 1%. По крайней мере, не сейчас.

Но специально делать вещи, которые ради этого 1% ломают что-то для условных 30% (число из головы, конечно), которые сидят на форуме с необязательным HTTPS, но всё-таки сидят на HTTPS (по какой-то причине, скажем, желание использовать современные протоколы) — это по меньшей мере, контрпродуктивно.

Типа, это несколько странно, что мне приходится изобретать функцию в начало HTML-верх вида

Код:
if (window.location.protocol === "https:") {
    window.location = 'ht' + 'tp://' // (*)
        + window.location.hostname + window.location.pathname + window.location.hash;
}

которая заставляет пользователя не использовать современную технологию, а перенаправляет их на версию сайта, что использует протокол двадцатидевяти летней давности.
Потому что если пользователь случайно загрузится через https, то он получит форум, в котором многие функции не работают — и не потому что я как программист или он как пользователь что-то делает не так, а потому что сервис хочет 1%.

Да, вариант с относительным протоколом может сработать, и, скорее всего, сработает на 99%.
Но.
Во-первых, мы опять найдём 1%, у которых что-то сломается, а может и не 1%. А во-вторых, я всё равно считаю, что даже такая автозамена — это костыль, который используется там, где в решительном большинстве случаев он тупо не нужен.


(*) — мне приходится это делать! Потому что если я сделаю 'http://' + window.location.hostname, то всё та же автозамена, сделает такой код:

Код:
if (window.location.protocol === "https:") {
    window.location = 'https://' + window.location.hostname + window.location.pathname + window.location.hash;
}

И пользователь попадёт в бесконечную перезагрузку.

+2

332

kozhilya написал(а):

Потому что если пользователь случайно загрузится через https, то он получит форум, в котором многие функции не работают — и не потому что я как программист или он как пользователь что-то делает не так, а потому что сервис хочет 1%.

Как-то из пальца высосано: Ну загрузился юзер с https - первое что не будет работать - это стиль - тут же сам и перезагрузится, чот ты сильно автоматизировать всё хошь
Ну или:
Код сложно велосипед - Ну поставь код в загружаемый скрипт, втам сервис ничо не заменяет ?

Отредактировано Deff (Пт, 7 Май 2021 06:54:49)

0

333

Deff написал(а):

Как-то из пальца высосано:

См. 5 картинку из поста выше, гое происходит именно названная мной ошибка.

Deff написал(а):

Код сложно велосипед - Ну поставь код в загружаемый скрипт, втам сервис ничо не заменяет ?

Сам же строчкой выше пишешь, что первым отвалится таблица стилей :D

Мне кажется, ты не особо понимаешь, что именно я пытаюсь починить, хотя как объяснить лучше — я не знаю, и не перед отъездом из города пытаться…

0

334

kozhilya
Ну сервис заменяет ссылки только на ссылках от сервиса...

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

Ксать многие ставят загрузку шрифтов в HTML верх - удобно менять, форум загружает фоны боdy чуть быстрее при много шрифтах

Отредактировано Deff (Пт, 7 Май 2021 06:42:50)

0

335

PS:
Ксать сейчас в head https:// независимо от протокола ссылки на сайт ( в опере 12 Свой стиль слетает)  :'(

https://forumupload.ru/uploads/0000/14/1c/22787/t912275.jpg

Отредактировано Deff (Пт, 7 Май 2021 06:56:18)

+1

336

Ну… Я такого поведения не наблюдаю
https://i.imgur.com/0LyMPGPm.jpg

0

337

kozhilya
Вот здесь посмотри http://forumd.ru/viewtopic.php?id=5783 (Что странно, что такое поведение в head не на всех форумах(к примеру тут http://imagiart.ru/ - норма )
==========================================
@kernel  Иван, Давай уж попробуем привести все сервисные ссылки к единому ? Через // ?  ( Ромыча наверно ждать не будем, у него большинство скриптов не файлом, а открытой записью... Тут и поправим... (Как то бесит эта проблема с постоянно скачущим видом ссылок, верхний  пример тут неоднократный за последние месяца три(не  точно тоже, но, вот  то в стиле ссылки не все меняются, то в формах и т.д.)

Отредактировано Deff (Пт, 7 Май 2021 12:08:43)

+1

338

Deff написал(а):

Ромыча наверно ждать не будем, у него большинство скриптов не файлом, а открытой записью... Тут и поправим...

В чём задача? Что нужно поправить? Протокол ссылок в скриптах?

+1

339

Romych написал(а):

В чём задача? Что нужно поправить? Протокол ссылок в скриптах?

Ну возможно да ссылки от сервиса, если есть в скрипте, но думаю это точно выяснится после смены на //
Ждём @kernel и криков от юзеров о проблемах ... Ксать можно наверно в Админке форумов красным уведомить(или на главной для Админов) ?

Отредактировано Deff (Пт, 7 Май 2021 20:06:52)

0

340

На этом форуме (и паре тестовых) поставил //.

+1


Вы здесь » Единый форум поддержки » Информация сервиса » Поддержка HTTPS