Vai al contenuto
FrancescoFiori

4.x Utilizzo ssl/https su IPB4

Recommended Posts

FrancescoFiori

Salve a tutti,

sto pensando di mettere il mio IPB4 sotto https, sul sito di Invision non ho trovato molto, qualcuno ha esperienze a riguardo?

Update
qui se ne parla ma nessuno menziona i possibili problemi di mixed content con contenuti embeddati non https :(

Modificato da FrancescoFiori
update

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Daniel

Ciao Francesco. di esperienze dirette con l'https su forum IPB mi è capitato di averne solo con la 3.4.x

nel mio caso però utilizzavo un vps unmanaged e ho dovuto configurarmi io tutti i possibili redirect :D

a parte quello, io provai il nuovo progetto Let's Encrypt che promette di implementare https totalmente gratuitie e NGINX con supporto HTTP/2. il tutto funzionava a dovere lato server, purtroppo però dopo diversi giorni ho dovuto desistere dal progetto perchè la skin mobile del sito in questione non funzionava più e se c'erano contenuti in http mi segnalava tutto il sito come https verificato si. ma con contenuti non sicuri. (e quindi ho dovuto configurare il procedimento inverso, cioè tutte le richieste https dovevano rimandare all' http, con conseguenze scazzamento degli utenti :D )

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
BomAle

@FrancescoFiori potresti optare per la direttiva CSP upgrading-insecure-requests che ti permetterebbe automaticamente di far verificare un url http in https e nel caso fallisce la richiesta allora non verrebbe caricato evitando appunto di far comparire l'avviso di mixed content, che sia un immagine o script o anche per gli iframe pubblicitari.

quindi riassumendo dovresti aggiungere:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

nel blocco <head> o anche sotto allo script di google analytics

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
BomAle

@FrancescoFiori potresti optare per la direttiva CSP upgrading-insecure-requests che ti permetterebbe automaticamente di far verificare un url http in https e nel caso fallisce la richiesta allora non verrebbe caricato evitando appunto di far comparire l'avviso di mixed content, che sia un immagine o script o anche per gli iframe pubblicitari.

quindi riassumendo dovresti aggiungere:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

nel blocco <head> (Purtroppo non è una soluzione efficace, e ti consiglio di intervenire nella configurazione del webserver)

oppure da webserver inserendo gli header

Content-Security-Policy

https://www.w3.org/TR/upgrade-insecure-requests/#example-13433fc6

https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html#What_is_HTTP_Strict_Transport_Security

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

You need to be a member in order to leave a comment

Crea un account

Iscriviti per un nuovo account nella nostra comunità. È facile!

Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.

Accedi Ora

×