Noosfero usando https
Ewout ter Haar
ewout at usp.br
Wed Apr 22 11:22:51 BRT 2015
Ontem o Rodrigo e eu colocamos a instância do Stoa do Noosfero atrás de SSL:
https://social.stoa.usp.br
Issues:
* quem incorporou javascript (via iframe) nos seus posts ou páginas vai
ter que re-fazer: browsers não gostam de mostrar javascript servido usando
http num site https. No caso de slideshare, pelo menos, é simples: colocar
um s atrás do http no código embed:
https://social.stoa.usp.br/ewout/blog/sistemas-de-ti-na-usp-e-no-ifusp
* imagens incorporados de sites de terceiros os browsers mostram, mas os
browsers dizem que o site não é mais segura.
* O pound que vem com debian stable não é seguro:
https://security-tracker.debian.org/tracker/CVE-2014-3566 (vulnerável para
POODLE). Isto limita a nota do ssllabs para C:
https://www.ssllabs.com/ssltest/analyze.html?d=social.stoa.usp.br
* Parece que o pound usa criptografia obsoleto (segundo Chrome):
http://security.stackexchange.com/questions/83831/google-chrome-your-connection-to-website-is-encrypted-with-obsolete-cryptograph
. As instruções de SSL
https://gitlab.com/noosfero/noosfero/blob/master/INSTALL.https.md podiam
incluir "boas práticas" para a linha Ciphers em /etc/pound/pound.cfg .
Porém, é importante que alguém teste isso bem, para que tudo funciona em
todos os browsers (inclusive, iOS, Android).
* O próprio Noosfero gera links hardcoded para http://dominio/. Do jeito
que configuramos o pound (redireciona tudo para https) isto é tão visível
para o usuário, mas fica estranho de qq maneira. O Rodrigo abriu um issue
para registrar lugares onde isto acontece:
https://gitlab.com/noosfero/noosfero/issues/57
Ewout
http://social.stoa.usp.br/ewout <http://stoa.usp.br/ewout>
F. 30916696
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20150422/3f5effa8/attachment.html>
More information about the Noosfero-br
mailing list