HTTPS em alpha.noosfero.org
Ewout ter Haar
ewout at usp.br
Wed Aug 13 14:22:22 BRT 2014
Boa esse link do blog de Mozilla, Joenio.
Nem tinha percebido os elemento de interface do FF e Chromium, que permitem
desbloquear.
Acho que se colocar o site inteiro atrás de https, vai ter que arcar com
este custo. Aos poucos os serviços que permitem embed vão se adequar. Por
exemplo, usando //, aqueles URLs sem protocolo, e.g.
https://developers.google.com/speed/libraries/devguide#jquery . Até mathjax
usa isso agora: http://docs.mathjax.org/en/latest/start.html#mathjax-cdn
Agora, o que me preocupe também é o desempenho: o varnish está
completamente fora do stack, certo? As requisições são entregas pelo Apache
diretamente aos thin? Como funciona isso?
Ewout
http://social.stoa.usp.br/ewout <http://stoa.usp.br/ewout>
F. 30916696
2014-08-13 12:27 GMT-03:00 Joenio Costa <joenio at colivre.coop.br>:
> Pesquisei um pouco o assunto e encontrei algumas referências sobre este
> problema que o Ewout relatou.
>
> http://www.tinywebgallery.com/blog/iframe-do-not-mix-http-and-https
>
> https://blog.mozilla.org/tanvi/2013/04/10/mixed-
> content-blocking-enabled-in-firefox-23/
>
> Aparentemente a maioria dos browsers implementam este mecanismo de
> segurança hoje em dia, em páginas HTTPS o source de um iframe deve ser
> também via HTTPS por questões de segurança.
>
> Além de iframes este tipo de bloqueio também afeta: JavaScript, CSS,
> objects, xhr requests e fonts.
>
> Estou estudando um pouco mais ver se encontro alguma alternativa para
> casos como este, mas acho que não vou encontrar nada que permita de fato
> incluir iframes com HTTP em páginas HTTPS, pois isto é realmente inseguro e
> nem um pouco indicado.
>
>
> On 12-08-2014 19:50, Ewout ter Haar wrote:
>
>> Aqui devia aparecer um widget, mas não aparece
>> https://alpha.noosfero.org/ze/pergunta . Parece que é só o iframe q dá
>> problema, um imagem hotlinkado está ok:
>> https://alpha.noosfero.org/joenio/testando-ssl , mas o embed do
>> slideshare que coloquei lá não funfa (coloquei slideshare.net
>> <http://slideshare.net> nos trusted sites)
>>
>>
>> Inspector do chromium diz: [blocked] The page at
>> 'https://alpha.noosfero.org/joenio/testando-ssl' was loaded over HTTPS,
>> but ran insecure content from
>> 'http://www.slideshare.net/slideshow/embed_code/16817133': this content
>> should also be loaded over HTTPS.
>>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20140813/8431de2f/attachment.html>
More information about the Noosfero-br
mailing list