Fórum

Jelikož máme k hostingu možnost vyzkoušet zdarma SSL certifikáty, přecházíme pro test (společně s Pika) na https://. Pokud by to dělalo problémy, lze zrušit.

Jelikož se při přihlašování posílají na server hesla v otevřené (textové) podobě, zabezpečení má smysl.

[6] : ?? A co je na tom tak OMG? Nemyslim, ze tenhle problem je tak zasadni, aby to nejak extra komplikovako lidem na strance zivot.

[7] lisakVUK: no, ono by tohle prostě dělat nemělo... popravdě se nedivím, že mi to v důsledku BlackBerry zablokovalo xD jen pozor na to ať se PJZ nedostane na nějaký blacklist

[8] Toegdip: Mel jsem za to, ze ti to bloklo certifikat. Coz je uplne jina "story" nez vyse popsany problem, ktery nastaval i pred zavedenim certifikatu. Vzhledem k tomu, ze hostujeme na ruskem serveru (profesionalni hostingova spolecnost Hostland.ru, kde jsme dostali pres znamost velmi vyhodnou nabidku) je hlaseni v rustine v poradku. Kazdopadne to berte jako test, pokud se hosting neosvedci, pristi rok se presuneme zase jinam. Ale zatim to prineslo vic vyhod nez nevyhod (vcetne mene nez polovicni ceny).

pika/pjz je hostovano na ruskem serveru? .D hnus...

[10] : Tak v dnesni globalizovane dobe mi neprijde nic neobvykleho vyuzivat i zahranicnich zdroju. V podstate je to jen veci nabidky sluzeb a ceny. Pokud mas proti hostingu neco konkretniho (server je casto nedostupny, ma pomale odezvy atd...) pak je samozrejme na miste to resit, ale jestli je fyzicky v Rusku, Americe nebo Australii je IMHO tak trochu jedno, ne? PJZ neni o politice.

[6] : Screenul jsem ti to =D

http://i.imgur.com/BnkKxYS.png

[12] Ash493: Oficiální vyjádření hostingové společnosti:

"Je to součást systému zavedeného proti "bruteforce" hesel (zkoušení mnoha hesel). Po vytvoření cookie by redirect už neměl probíhat a měla by se otevřít rovnou stránka s loginem."

Domnívám se, že je to navíc vázané na název "login", zkusil jsme přejmenovat na logon (a upravit odkazy) a uvidíme.

Každopádně to není nic závadného...

Zpráva byla změněna dne 08.02.2016 v 14:28:09

ad SSL, rve to, ze nektere casti webu nejdou po SSL. nezkoumal sem to, tipoval bych obrazky a podobny veci ...

[15] ghormoon: JJ. Bude třeba ještě zrevidovat web a přepsat přinejmenším interní vazby, aby tam v nich nikde nebyl protokol, ale zůstane problém s fórem, kde se linkuje extrení obsah a s avatary.

Veľmi chválim snahu aplikovať SSL, určite to je dobré krok s ohľadom ako na bezpečnosť tak aj na marketing /Google zohľadňuje už aj to/.

Avšak síce sa web snaží použiť HTTPS, je potrebné ešte doladiť zopár vecí, pretože aspoň mne stále nešifruje. Veľa štastia.

[17] pein: Jako vůbec? Co vím, tak to píše, že části stránky jsou nešifrované, což je pravda, neboť je zde linkován obsah přes http. Co se týká odkazů v rámci obsahu webu, tam to lze pořešit, ale odkazy "ven" na fóru stejně jako uživatelské HTML nicky (avatary) zůstanou problém, neboť externí obsah neovlivním. Ale i tak má šifrování smysl, zejména v případě posílání hesel při přihlašování.

PJZ mi teprv teď přeskočilo na https, ale prohlížeš křičí, že části stránky nejsou šifrované.

[19] John Beak: jj. To je pravda a asi to tak vzdy bude (viz vysvetleni vyse).

btw. BlackBerry mě už týden nebo dýl nechce pustit na PJZ, protože má problém s certifikátem...

[21] Toegdip: A co když zkusíš http:// místo https://. Zabezpečené připojení není povinné.

Morx má taky BlackBerry a taky se mu stalo, že ho to vyblokovalo, ale zřejmě jen přes https://. Pokud jsem dobře pochopil, jde o to, že to co jinde ukazují jako "warning" - tedy že části stránky jsou nezabezpečené, je na BlackBerry už důvod k odmítnutí zobrazení stránky. BlackBerry nemám a tudíž nemohu vyzkoušet, alepředpokládal bych, že tam bude nějaké nastavení zabezpečení a tam by to mohlo jít nastavit.

[22] lisakVUK: rozdíl mezi http:// a https:// nevnímá BlackBerry jako rozdíl, jde o certifikát a ten je podle něj stále špatně...

Vyjádření mého telefonu:

Velký černý křížek v červeném osmiúhelníku (podle definic nejhorší možná varianta ohrožení)

- certifikát k identifikaci www.pjz.cz nebyl ověřen důvěryhodným zdrojem

- You can't proceed because this website has HTTP Strict Transparent Security enabled

Shrnuto a podtrženo, nepatří vydavatel certifikátu do ověřených nebo ověřitelných zdrojů certifikátů v seznamech BlackBerry a tím pádem mě za současné situace na web nikdy nepustí. V podobných situacích lze přidat výjimku, v tomto případě to ale BlackBerry nedovoluje - možná to ví lépe než já proč a možná není problém jen v certifikátu.

[23] Toegdip: Certifikaty Let's Encrypt jsou moznosti, jak snadno a zadarmo zabezpecit web. Slouzi pouze k sifrovani spojeni - neoveruji tedy mejitele webu atd... V soucasnosti jsou pomerne siroce podporovane (Microsof, Google, Apple). Pokud by melo problem vice lidi, pak ten certifikat klidne opet stahnu, ale zatim ses ozval jen ty s tim, ze te system vubec nepustil. Rad bych ti pomohl najit reseni, ale asi bych to musel videt na vlastni oci a neco o BlueBerry nastudovat - dosud jsem nemel v ruce. Jinak Morx ma jeden telefon taky BlueBerry a presto mu to fungovalo - i kdyz zaznamenal taky na omezenou dobu problem, pokud si dobre pamatuju, vyresil pristupem pres http:// misto https://. HTTP je nezabezpecene pripojeni - tudiz se zadny certifikat nepouziva, takze neni co overovat. Je ovsem mozne, ze tvuj system zkousi https i v pripade ze zadas jen http, pak by snad melo jit takove chovani v nastaveni zmenit. Muzeme probrat vecer na ICQ, budes-li online.

[23] [24]: Aha, a jéje. Vuku, v jednom bodě jsi nastavil HSTS. Toho se už nezbavíš.

Přestože už není na místě redirect z http:// na https://, posílá web http header Strict-Transport-Security: max-age=31536000;. To znamená že jakmile navštíví prohlížeč stránku po HTTPS, po určitou dobu (konkrétně rok) si "zapamatuje" že na ní nesmí bez zabezpečení, a proto bude i nadále přesměrovávat (u sebe) http na https. Takže to co se děje je že si Toegdipovo Blackberry zapamatovalo HSTS a odmítá se připojit po HTTP.

Druhá věc co se děje je nejspíš to, že BlackBerry má moc stáre root cerfitikáty a nepodporuje tedy Let's Encrypt. Z tohoto tématu, následující systémy nepodporují LE:

• Blackberry OS 10, 7, & 6
• Android 2.3.5 (HTC Wildfire S, Stock Browser)
• Nintendo 3DS
• Windows XP

To, že je špatný certifikát, by typicky na zařízení šlo obejít (prostě odkliknout), ale opět nastavení HSTS tuto možnost zakazuje - certifikát musí být platný.

V tomto bodě kvůli HSTS rozhodně nepomůže stáhnout certifikát! Stovky prohlížečů si ho pamatují a nepřipojí se pokud tam nebude. Správný krok je co nejdřív vypnout nastavení HSTS (to nikdy nemělo být aktivované naslepo, jedině po měsících svižného běhu...), a na Toegdipově straně vyčistit nějaké cache, aby pro PJZ nemělo HSTS záznam (to, jak se to dělá na Blackberry, si budeš muset zjistit...)

Zpráva byla změněna dne 13.03.2016 v 13:01:41

[25] Sanky: Díky za vysvětlení. Až bude HSTS vypnuto, tak si jen vymažu cache v prohlížeči a pak to snad bude běhat. BlackBerry je holt konzerva :)

Doplnění:

No a problém jsem dočasně vyřešil tím, že používám jiný než zabudovaný prohlížeč. Efektivní to není, ale dostanu se na web. Hail to Max Mobile Security Web Browser.

Zpráva byla změněna dne 13.03.2016 v 14:46:48

[25] Sanky: Díky za vysvětlení. Problém je v tom, že zatím to nevypadá, že bych byl HSTS schopen vypnout. Nemám totiž přístup ke konfiguraci serveru (ta je navíc společná pro všechny weby, které na něm hostují a je tedy nepravděpodobné, že by ji provider kvůli mě měnil). Vlastnosti mohu měnit jen pomocí .htaccess. Existuje možnost nastavit "Strict-Transport-Security max-age=0;", což by mělo HSTS defakto vypnout, ale když to použiju, server tam stejně nacpe původní hodnotu a je tam tedy ve výsledku obojí "max-age=0, max-age=31536000;".

Zatím jsem nevygooglil žádnou funkční možnost jak se toho zbavit. Pokud někdo ví jak na to, rád si nechám poradit. Jinak prpovider hostingu nabízí Let's Encrypt certifikáty k hostované doméně defakto "na klik", žádné možnosti jemnějšího nastavení tam nejsou - prostě buď zavézt nebo zrušit.