Noosfero usando https
Bráulio Bhavamitra
braulio at eita.org.br
Wed Apr 22 18:24:16 BRT 2015
Oi Ewout!
2015-04-22 11:22 GMT-03:00 Ewout ter Haar <ewout at usp.br>:
> Ontem o Rodrigo e eu colocamos a instância do Stoa do Noosfero atrás de
> SSL:
> https://social.stoa.usp.br
> Issues:
> * quem incorporou javascript (via iframe) nos seus posts ou páginas vai
> ter que re-fazer: browsers não gostam de mostrar javascript servido usando
> http num site https. No caso de slideshare, pelo menos, é simples: colocar
> um s atrás do http no código embed:
> https://social.stoa.usp.br/ewout/blog/sistemas-de-ti-na-usp-e-no-ifusp
>
Sim, melhor que mudar para https é usar o //social... O // usa o protocolo
da página.
Uma coisa a se pensar é ter um script para mudar isso em todos os conteúdos
da rede de modo automatizado. Essa demanda também existe quando o cara muda
seu identificador: aí precisa mudar os links.
Outra questão de usar https é usar junto com ele o spdy e http2 para
acelerar o carregamento da página, pois o https sozinho precisa do dobro de
roundtrips comparado ao http, ou seja, a latência do site dobra.
Que conheço, só o nginx suporta o spdy. Um exemplo de configuração:
https://github.com/coletivoEITA/noosfero-cookbook/blob/master/templates/default/nginx.conf.erb#L72
>
> * imagens incorporados de sites de terceiros os browsers mostram, mas os
> browsers dizem que o site não é mais segura.
>
Chatice mesmo...
> * O pound que vem com debian stable não é seguro:
> https://security-tracker.debian.org/tracker/CVE-2014-3566 (vulnerável
> para POODLE). Isto limita a nota do ssllabs para C:
> https://www.ssllabs.com/ssltest/analyze.html?d=social.stoa.usp.br
> * Parece que o pound usa criptografia obsoleto (segundo Chrome):
> http://security.stackexchange.com/questions/83831/google-chrome-your-connection-to-website-is-encrypted-with-obsolete-cryptograph
> . As instruções de SSL
> https://gitlab.com/noosfero/noosfero/blob/master/INSTALL.https.md podiam
> incluir "boas práticas" para a linha Ciphers em /etc/pound/pound.cfg .
> Porém, é importante que alguém teste isso bem, para que tudo funciona em
> todos os browsers (inclusive, iOS, Android).
>
Não é obsoleta, mas insegura. Foi encontrada uma falha de segurança
incorrigível no SSL, o jeito é ir para o TLS. A correção seria uma nova
versão do SSL, o que é inviável.
> * O próprio Noosfero gera links hardcoded para http://dominio/. Do jeito
> que configuramos o pound (redireciona tudo para https) isto é tão visível
> para o usuário, mas fica estranho de qq maneira. O Rodrigo abriu um issue
> para registrar lugares onde isto acontece:
> https://gitlab.com/noosfero/noosfero/issues/57
>
Sim, tinha um merge request antigo que fiz para que o noosfero gere URLs
https para um determinado domínio, mas o terceiro tinha feito algo mais
simples usando o //. Teria que revisitar isso...
Uma outra alternativa, que adotamos no cirandas, é deixar o http e o https
independentes, ou seja, nem um nem outro redireciona para o outro. Isso é
bom para esse momento de transição onde as coisas em https ainda tem
problemas que não tem no http.
Esse redirecionamento também deixa a coisa mais lenta para o usuário.
abraços!
bráulio
>
> Ewout
>
> http://social.stoa.usp.br/ewout <http://stoa.usp.br/ewout>
> F. 30916696
>
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>
--
"Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
ideologia. Morra por sua ideologia" P.R. Sarkar
EITA - Educação, Informação e Tecnologias para Autogestão
http://cirandas.net/brauliobo
http://eita.org.br
"Paramapurusha é meu pai e Parama Prakriti é minha mãe. O universo é meu
lar e todos nós somos cidadãos deste cosmo. Este universo é a imaginação da
Mente Macrocósmica, e todas as entidades estão sendo criadas, preservadas e
destruídas nas fases de extroversão e introversão do fluxo imaginativo
cósmico. No âmbito pessoal, quando uma pessoa imagina algo em sua mente,
naquele momento, essa pessoa é a única proprietária daquilo que ela
imagina, e ninguém mais. Quando um ser humano criado mentalmente caminha
por um milharal também imaginado, a pessoa imaginada não é a propriedade
desse milharal, pois ele pertence ao indivíduo que o está imaginando. Este
universo foi criado na imaginação de Brahma, a Entidade Suprema, por isso
a propriedade deste universo é de Brahma, e não dos microcosmos que também
foram criados pela imaginação de Brahma. Nenhuma propriedade deste mundo,
mutável ou imutável, pertence a um indivíduo em particular; tudo é o
patrimônio comum de todos."
Restante do texto em
http://cirandas.net/brauliobo/blog/a-problematica-de-hoje-em-dia
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20150422/b5d0b623/attachment.html>
More information about the Noosfero-br
mailing list