usikkert indhold

[John]

Jeg får pludselig denne advarsel om at usikkert indhold er blokeret..

warning.jpg (50.63 KiB) Vist 1084 gange

[Mogens Zachariasen]

Har haft den advarsel stående længe når jeg besøger anstronet med Opera browser.

Tjekkede med google browser og der kommer den også

Men med Exlporer kommer den ikke.

Kan slås fra, men har ikke gjort det.

[Rudi]

Jeg er godt opmærksom på dette.
Sidst jeg undersøgte det, fandt jeg ud af, at det er fordi astronet indeholder bl.a. billeder fra andre sites.
Når jeg får tid, prøver jeg, om der er en løsning til det.

[Rudi]

Jeg kikkede lidt på dette i aftes.
Det havde den bivirkning, at jeg sommetider bliver logget af og skal indtaste password. Tror at det har noget med nogle coockie ændringer at gøre.
Jeg holder øje, om det er et problem der fortsætter.

Edit 2018-07-22 kl 17:45: log ud issues løst

[Viking]

Jeg får også dette i Chrome. Ved nærmere undersøgelse af fejlmeldinger i konsollet så ser jeg at der er en del relativt simple ting der kan ryddes op i.

[admin]

Hej Björn,

Det er rigtigt, det drejer sig blot om eksterne links til http billeder. Jeg tror desværre ikke at jeg kan fikse det, hvis feks AstroBoot ikke har en certifikat og anvender https.
Jeg har ekstremt travlt for tiden, men jeg skal prøve at se på det ved lejlighed.

[admin]

Jeg har rettet alle de interne fejl på astronet, nu er der blot tre af annoncørernes sider, som ikke har https som giver problemer. Jeg linker til billeder på deres sider, men kan godt flytte billederne til astronet. Smerlinger på det sidste lidt senere.

[Viking]

Det var extremt hurtigt udført af dig, Rudi! Selv om du havde det travelt.
Chrome er fornøjd her nu.

[admin]

Det var alligevel ikke så omfattende. Så det blev ordnet mens jeg lagde pølser på grillen og holdty øje med dem

Edit:
Men "hængelåsen" kan stadig blive til et (i), hvis en bruger i en tråd selv har sat et link ind til en http:// adresse. Det tror jeg ikke er noget at gøre ved.

[Viking]

Men "hængelåsen" kan stadig blive til et (i), hvis en bruger i en tråd selv har sat et link ind til en http:// adresse. Det tror jeg ikke er noget at gøre ved.

Nej, det er vanskeligt at gøre noget med før phpBB indfører lokal gemming af billeder, video, etc. sådan at alle recurser er indenfor domenet når det vises.

Sådan:

1. Bruger hænger ved et billede til en besked.
2. phpBB snapper op billedet og gemmer det lokalt på sin server. (automatisk intern process)
3. phpBB ændrer vædhenget i beskeden til en lokal referance. (automatisk intern process)
4. Beskeden vises med den lokale linken istedet for den eksterne.

En anden fordel med lokal gemming af multimedia-filer er at man ikke risikerer de forsvinder fra Internet.
Vi ved alle hvor irriterende der er når et billede ikke kan vises i en besked længre fordi verten er lagt ned og alle linker dit således er døde ...

Jeg håber dem der laver phpBB kan få til dette en gang i fremtiden. Havde jeg haft tid skulle jeg lavet en plugin der gjorde det, men det får nogen andre gøre da jeg dessværre ikke har tid.

[admin]

Der findes faktisk en extension der gør dette, en proxy som henter eksterne billeder, se https://www.phpbb.com/community/viewtopic.php?t=2392726

Jeg har faktisk forsøgt, at installere denne extension tidligere (sidste år), men det drillede lidt. Det kræver, at man installere en Camco proxy, men det drillede desværre lidt.
Måske bliver det fikset i en fremtidig patch til phpBB.

[Viking]

Ok, det er en mulig løsning, men det fungerer forskelligt fra det jeg skisserede ovenfor. Jeg mener min løsning ville været bedre.

Et problem med at gemme billeder lokalt på Astronets server er at ejeren af billedet måske ikke er glad for det. I slike tilfæller kan man istedet for at gemme billedet - a) bare fortsætte med en usikret link, b) bruge en proxy, der er beskrevet i din besked, eller c) lave et tillæg til gemme-proceduren med angivelse af copyright holder, o.a. der vil tilfredstille oplasteren. Måske en kombination af a, b, og c.

Det er også muligt at konvertere alle usikrede links med en URL-shortener, som f.ex. https://tinyurl.com. Men igen, da må man have et script der gør det automatisk. Men slike URL-shortener sites er jo heller ikke immune fra at blive lagt ned en gang i fremtiden, på samme måde som billedehoster ... Dessuden kan billedet fjærnes fra den externe ressursen, sådan at døde linker opstår.

Edit: Efter at ha tænkt på det her lidt, tror jeg denne løsningen ville være optimal:

- Et script der gemmer billeder lokalt, kombineret med
- Et script det konverterer linken til en https://tinyurl.com/blabla link, for dem der ikke er bekvem med at lagre sine billeder på den lokale server

Dermed får brugeren to valg der alle bør være fornøjd med.

[Rudi]

Tak for input Bjørn.

Jeg har tænkt lidt over det. Hvad er værdien i at forcere en grøn hængelås ikon i browseren? Hvis man blot kopierer eksterne billeder fra http sider, så omgår man jo SSL og viser et “usikkert” billede på en sikker side.
Der kan også hurtigt blive problemer med ophavsret, hvis man bruger en proxy som feks CAMO. Det er ikke lovligt, at “høste” billeder og gemme dem lokalt på sin egen server. Ikke engang selvom det er en proxy funktionalitet.
Den eneste rigtige løsning er, at man kun tillader at embede billeder fra SSL sites, og at billeder fra http sites må kun være links. Der findes faktisk en extension til phpBB, der kan netop dette:
https://www.phpbb.com/customise/db/exte ... es_as_link

Men hvad er det egentlig vi prøver at opnå? Vi anvender jo ikke billeder til noget som helst følsomt eller andet sikkerheds relateret information.

Indtil videre lader jeg dette være som det er, og tillader at man kan embede eksterne billeder fra sider, som ikke har et gyldigt SSL certifikat. Hvor mange af jer med en privat hjemmeside, som I bruger til at lægge billeder op, har købt et SSL certifikat?
Nu har jeg i hvert fald sørget for, at alt indhold internt på astronet.dk er grade A sikret, så kan jeg ikke gøre meget mere.

Hvis nogen har en god ide, så hører jeg gerne om det.

Edit:
Jeg kan se, at feks WordPress anvender en proxy til http billeder.
Kikker jeg på Jens udemærkede indlæg fra Berlin, hvor Jens embeder et billede fra sin egen hjemmeside, som ikke anvender SSL:

På Astro Forum (Word Press) embedes et kopieret billede:
https://forum.astronomisk.dk/forums/top ... riebesoeg/

Kode: Vælg alt

src="https://i2.wp.com/www.egeskovobs.dk/jpeg/zeiss_grossplanetarium/planetarium2.jpg?w=960"

På astronet embedes det originale billede:
viewtopic.php?f=18&t=1625&p=10565#p10565

Kode: Vælg alt

src="http://www.egeskovobs.dk/jpeg/zeiss_grossplanetarium/planetarium1.jpg"

Der findes en extension til phpBB som kan noget tilsvarende, jeg kan godt prøve at installere det, det kan jo hurtigt fjernes igen, hvis det giver problemer.

https://www.phpbb.com/community/viewtop ... #p14567486

[admin]

Jeg har nu installeret denne extension:
https://www.phpbb.com/community/viewtop ... #p14567486

Og det ser ud til at virke fint, nu burde hele astronet være sikker.

[Viking]

Hej Rudi,

Tak for at du arbejder så meget med at få ting ordnet her, det er imponerende indsats!
Dog er det en fejl i linken i dit sidste indlæg.

Jeg er forøvrigt enig i at det er en grænse for hvor meget arbejd man skal lægge ned i slike sager og nu har du gjort mer end man kan forvænte. Men jeg er glad for at der kom noget ud af denne diskutionen. Meget bra!