Vai al contenuto
  • 0

Utilizzo ssl/https su IPB4


FrancescoFiori

Domanda

Salve a tutti,

sto pensando di mettere il mio IPB4 sotto https, sul sito di Invision non ho trovato molto, qualcuno ha esperienze a riguardo?

Update
qui se ne parla ma nessuno menziona i possibili problemi di mixed content con contenuti embeddati non https :(

Modificato da FrancescoFiori
update
Link al commento
Condividi su altri siti

3 risposte a questa domanda

Messaggi raccomandati

  • 0

Ciao Francesco. di esperienze dirette con l'https su forum IPB mi è capitato di averne solo con la 3.4.x

nel mio caso però utilizzavo un vps unmanaged e ho dovuto configurarmi io tutti i possibili redirect :D

a parte quello, io provai il nuovo progetto Let's Encrypt che promette di implementare https totalmente gratuitie e NGINX con supporto HTTP/2. il tutto funzionava a dovere lato server, purtroppo però dopo diversi giorni ho dovuto desistere dal progetto perchè la skin mobile del sito in questione non funzionava più e se c'erano contenuti in http mi segnalava tutto il sito come https verificato si. ma con contenuti non sicuri. (e quindi ho dovuto configurare il procedimento inverso, cioè tutte le richieste https dovevano rimandare all' http, con conseguenze scazzamento degli utenti :D )

Link al commento
Condividi su altri siti

  • 0

@FrancescoFiori potresti optare per la direttiva CSP upgrading-insecure-requests che ti permetterebbe automaticamente di far verificare un url http in https e nel caso fallisce la richiesta allora non verrebbe caricato evitando appunto di far comparire l'avviso di mixed content, che sia un immagine o script o anche per gli iframe pubblicitari.

quindi riassumendo dovresti aggiungere:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

nel blocco <head> o anche sotto allo script di google analytics

Link al commento
Condividi su altri siti

  • 0

@FrancescoFiori potresti optare per la direttiva CSP upgrading-insecure-requests che ti permetterebbe automaticamente di far verificare un url http in https e nel caso fallisce la richiesta allora non verrebbe caricato evitando appunto di far comparire l'avviso di mixed content, che sia un immagine o script o anche per gli iframe pubblicitari.

quindi riassumendo dovresti aggiungere:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

nel blocco <head> (Purtroppo non è una soluzione efficace, e ti consiglio di intervenire nella configurazione del webserver)

oppure da webserver inserendo gli header

Content-Security-Policy

https://www.w3.org/TR/upgrade-insecure-requests/#example-13433fc6

https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html#What_is_HTTP_Strict_Transport_Security

Link al commento
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un membro per lasciare un commento

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!

Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.

Accedi Ora
  • Chi sta navigando   0 utenti

    • Nessun utente registrato visualizza questa pagina.
×
×
  • Crea Nuovo...

Informazioni importanti

Abbiamo inserito dei cookies nel tuo dispositivo per aiutarti a migliorare la tua esperienza su questo sito. Puoi modificare le impostazioni dei cookie, altrimenti puoi accettarli cliccando su continua. to insert a cookie message.