"to połączenie jest niezaufane"

[Femka]

W pewnym momencie, gdy chciałam wejść w panel użytkownika dostałam taki właśnie komunikat i dodatkowo informację techniczną:

forum.miau.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat jest prawidłowy tylko dla ssl.felispolonia.eu.

(Kod błędu: ssl_error_bad_cert_domain)


Jeśli zagrożenie jest zrozumiałe, można
nakazać programowi Firefox, by ufał identyfikacji tej witryny.
Nawet jeśli witryna należy do zaufanych, błąd ten może oznaczać, że ktoś ingeruje
w połączenie użytkownika.
Nie należy dodawać wyjątku, o ile nie ma
uzasadnionych przyczyn, dla których ta witryna nie używa zaufanej identyfikacji.

Ze strony głównej na wszystkie podfora wchodzę bez problemu.



EDIT: po kilkunastu minutach problem zniknął. Czy ktoś próbował wejść w mój profil?

[lrafal]

Ok, dzięki za info, widać dnsy jeszcze nie wszędzie się odświeżyły.
Jutro ponownie spróbuję uruchomić szyfrowanie.

Jak komuś już działa ten link index.php bez alarmu zabezpieczeń to można korzystać.

oczywiście szyfrowana jest tylko transmisja pomiędzy użytkownikiem a forum, obrazki pobieranie z obcych serwerów już nie.

Odp. na edit: szyfrowanie było uruchomione dla ucp.php więc cały panel użytkownika i PW, dlatego ten błąd się pojawił w tym miejscu.

[Femka]

zrozumiałam, że to jakiś błąd z szyfrowaniem czegoś, tak? Czyli nikt się nie włamywał i wszystko jest ok? I jak się pojawi taki komunikat, to mam ostrzeżenie zignorować?

[lrafal]

Nikt się nie włamywał, wczytał się certyfikat od innej strony www i tego dotyczył komunikat (adres zapisany w certyfikacie nie był taki sam jaki miałaś w pasku adresowym)

[Femka]

ok, thx.

[lrafal]

ok,szyfrowanie ponownie włączone (logowanie,panel użytkownika w tym PW) proszę zgłaszać ew. problemy.

[Wojtek]

1.
Odsyłacze w powiadomieniach o śledzonych wątkach mają "http". Po kliknięciu na taki odsyłacz otwiera się strona logowania HTTP. Po zalogowaniu wchodzi się w HTTPS, ale ląduje się na stronie głównej forum, a nie w śledzonym wątku.

1a.
Jeżeli jestem zalogowany w trybie HTTPS i kliknę odsyłacz z powiadomienia (HTTP), to wchodzę w śledzony wątek w trybie HTTP.

2.
Na stronie głównej jest OK, tzn. protokół HTTPS, żółte pole adresowe, kłódka na żółtym tle.
Ale po wejściu w niektóre wątki pasek adresu traci żółty kolor, tło kłódki staje się czerwone, kłódka jest złamana i wyświetla komunikat: "Warning: Contains unauthenticated content" (Mozilla SeaMonkey 2.13).
Przypuszczam, że to z powodu treści pobieranych z obcych serwerów.

---

Dopisałem punkt 1a.

[lrafal]

to się zgadza, i tu się zastanawiam czy po https dać całość forum czy tylko panel użytkownika, na IE, chrome i firefox ten komunikat o treści nieszyfrowanej nie jest aż taki dobitny

wieczorem ustawię przekierowanie całości i zobaczymy jak się linki zachowają, na razie obserwuję obciążenie łącza i procesorów.

[lrafal]

ad. 1a, mam możliwość puścić w https tylko wybrane pliki np. ucp.php i mcp.php czyli te w których mogą być przetwarzane dane osobowe i taka wersja wydaje się najlepsza, tylko muszę sprawdzić jak się cookies zachowają po takim zamieszaniu.

[lrafal]

i jak teraz ?

[NITKA/KARINKA]

a teraz tylko mcp.php jest szyfrowane

[lrafal]

i ta część gdzie się zmienia hasło i maila, w nocy popracuję jeszcze nad logowaniem po ssl i cookies via ssl

[lrafal]

Więc po testach najlepiej działa w całości na https.
Zainstalowałem na testy FireFoxa, Operę, testowałem na Chrome i IE (PC i lumia 820), mam też SeaMonkey 2.16 i faktycznie ta reaguje najostrzej z pozostałych przeglądarek, tzn wyświetla info że strona zawiera nieszyfrowane treści (można zaznaczyć, że nie ma pokazywać tego okna więcej) i na dole kłódka robi się czerwona.

Pytanie mam takie, czy to bardzo utrudnia/przeszkadza bo nie wiem czy mam ćwiczyć temat dalej, czy tak jest ok ?

(sprawdziłem też na Androidzie, Browser i Dolphin, działa bez żadnego alertu zabezpieczeń)

[NITKA/KARINKA]

IE9
Po pewnym czasie człowiek przyzwyczaja się, że na prawie każdej stronie (przy przeglądaniu wątków) wyświetla się pasek z informacją:

Wyświetlana jest tylko bezpieczna zawartość. Jakie jest zagrożenie? Pokaż całą zawartość.

Nie mam kłódki na żadnej stronie jak wchodzę w wątki.
Pojawia się przy pisaniu odpowiedzi.

[Wojtek]

Jak dla mnie, może być. Wyskakujące komunikaty mam wyłączone, o ogólnej sytuacji informują mnie kolory, symbol kłódki i ewentualnie opis kłódki pokazujący się po najechaniu na nią myszą.



Taka sytuacja (tzn. ostrzeżenia o nieszyfrowanej treści pochodzącej z obcych serwerów) dotyczy bardzo wielu serwisów, nie tylko Miau.

W powiadomieniu o zmianach w wątku odsyłacze mają już HTTPS. Po kliknięciu weń loguje się prawidłowo i wchodzi się w śledzony wątek. Jest OK.