Изображение блога
Тимофей Мартынов
Тимофей Мартынов Блог компании sMart-lab.ru
06 июля 2017, 15:37

Сейчас на смартлабе могут быть баги-лаги

Тестируем переход с http на https, о багах сообщайте в каментах
55 Комментариев
  • Андрей
    06 июля 2017, 15:42
    Только что при обновлении страницы отображался только текс. Закрыл, переоткрыл новую вкладку, все норм.
  • God
    06 июля 2017, 15:43
    кстати есть довольно старый, но неприятный баг: неработает вставка картинок по https. Если указать урл на с https, то говорит что по ссылке не картинка.
    • Leo
      06 июля 2017, 17:02
      God, о да, бесит прямо неимоверно! Уж 100 лет все умеют ходить по https (php, curl итд).
  • Krechetov
    06 июля 2017, 15:47
    А что переход то даст? Какие нить ништяки будут? Или только баги? :)
    • sortarray sortarray
      06 июля 2017, 15:52
      Krechetov, для пользователя никаких ништяков не будет. Это означает только то, что тот текст, который гоняется по сети между Вами и сервером, будет невозможно прочитать на промежуточных узлах, потому что он будет ходить в зашифрованном виде.
      По-идее, это имеет смысл только для конфиденциальных данных, но сейчас стало модно прикручивать это где не попадя, для солидности.
      • Krechetov
        06 июля 2017, 15:55
        sortarray sortarray, «будет невозможно прочитать на промежуточных узлах, потому что он будет ходить в зашифрованном виде»

        Типа никто посторонний не прочитает мой блог? oO

        А можно наоборот? :)))))
        • sortarray sortarray
          06 июля 2017, 16:00
          Krechetov, имеется в виду так называемый «человек посередине», типа того:)

          Что касается того, можно ли будет заходить по http, то обычно да, возможность оставляется, но для этого надо будет копаться в настройках браузера где-то, чтобы он не отправлял заголовок upgrade-insecure-requests=1, иначе сервер будет перенаправлять на https по умолчанию.

          обычно всем пох*й
  • sortarray sortarray
    06 июля 2017, 15:50
    Я вижу того, кто у меня в бане.
    • God
      06 июля 2017, 15:56
      sortarray sortarray, жесть, я тоже почему-то вижу твое сообщение! брысь обратно в ЧС!))
    • sortarray sortarray, заклеивать надо камеру видеонаблюдения в бане. 
  • Сергей Подоляк
    06 июля 2017, 15:57
    Тимофей, https — это монопольный протокол клиент-сервер для приватных транзакций.  В этом его смысл.
    Если же на Вашем сайте с Вашей страницей в одном сеансе тянутся сторонние сайты, типа счётчиков Яндекса или рекламные вставки, то это НЕНАСТОЯЩИЙ https. Но если Вы потом будете использовать https для ПОД-доменов Смарт-Лаба, например отдельный (монопольный) сайт для инвестирования в акции, то в таком случае-да, это имеет смысл.
    Как показывает практика, этого не понимают сисадмины денежных сайтов даже больших брокеров, таких как Альпари.
    • sortarray sortarray
      06 июля 2017, 16:15
      Сергей Подоляк, 
      Если же на Вашем сайте с Вашей страницей в одном сеансе тянутся сторонние сайты, типа счётчиков Яндекса или рекламные вставки, то это НЕНАСТОЯЩИЙ https

      Вы о чем это? О безопасности?
      Во первых, эти сторонние ресурсы тоже могут запрашиваться по https. А как Вы себе вообще представляете, что на страницу не подгружаются сторонние ресурсы? Такое редко бывает, Вы же даже видео с ютьюба так транслировать не сможете.
      Во вторых, там нет опасности перехвата пакетов по сети, опасность возникает только во время исполнения скриптов на странице, когда сторонний скрипт может получить данные пользователя и отправить третей стороне. Но тут, по моему, протокол вообще не при чем.
      • Сергей Подоляк
        06 июля 2017, 16:27
        sortarray sortarray, что значит «могут»? Они не должны потому как
        =======================================

        XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «внедрение кода[en]».

        Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя[1].

        Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».

        XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений согласно OWASP 2013[2]. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки[3].
        =====================================

        Ключевые слова тут у Вас «по моему», «редко бывает».
        Ха-ха! Сколько тебе лет, кормилец хакерья?
        • sortarray sortarray
          06 июля 2017, 16:36
          Сергей Подоляк, Вы ведь вообще ноль в этом, даже не представляете как это все работает, тупо пастите какие то сраные цитаты с быдлопедии, думаете это не заметно? Смешали в одну кучу все. Вам не стыдно так себя вести?
          Можете объяснить, какое вообще отношение к этому имеет XSS? Своими словами, без пасты, изложите пожалуйста.
          • Сергей Подоляк
            06 июля 2017, 16:44
            sortarray sortarray, ещё чего. Сорри, с ЦРУ-ботами, забалтывающими противника за 20 долларов за пост, мне не о чем дискутировать.
            • sortarray sortarray
              06 июля 2017, 16:48
              Сергей Подоляк, ХО ХО, ты теперь не просто бот, ты теперь клоун, который за слова не отвечает. Поздравляю, обтекай.
              • b34rcava1ry
                14 июля 2017, 10:56
                sortarray sortarray, осторожно, это широко известный в узких кругах профессор кислых щей!
                Просто человек никогда про CORS не слышал, зато в 2017 узнал про XSS (основная волна чуть ли не в 2009 была в рунете).
        • sortarray sortarray
          06 июля 2017, 16:46
          Сергей Подоляк, 
          Ключевые слова тут у Вас «по моему»

          Да, если я в чем то не уверен, я так и говорю, потому что я говорю правду. Я не уверен, может я что то не знаю, но я блеать, в упор не вижу, как https может защитить тебя от XSS? Или ты просто бредишь?
  • ℤakk
    06 июля 2017, 16:03
    Смарт-Лаб показывает, что Тимофей Мартынов — Пушкин)
  • pm
    06 июля 2017, 16:10
    Даешь монетизацию идей на Смарте…
    • Дмитрий Л
      06 июля 2017, 16:19
      Тимофей Мартынов, Тёма, ты сам с собой начал разговаривать?))
      Сам себе тикет написал )))
    • Сергей Подоляк
      06 июля 2017, 16:31
      Тимофей Мартынов, может это волна DNS не дошла до Украины, но алиас (alias) https версии у Вас на сервере провайдера не перенаправляет автоматом с http на https. Ежели прописать руками в строке браузера https и полное имя сайта, то да, грузится https, но по умолчанию грузится обычный http.
      • Leo
        06 июля 2017, 17:06
        может это волна DNS не дошла до Украины, но алиас (alias) https версии у Вас на сервере провайдера не перенаправляет автоматом с http на https
        Сергей Подоляк, при чём тут DNS, простите? А-запись вообще никак не зависит от протокола доступа, скорее всего её вообще не трогали. И никакого «сервера провайдера» у СЛ нет, есть собственное оборудование в датацентре.
        • Алексей
          07 июля 2017, 06:48
          Тимофей Мартынов, 

          рассылка сломалась.

          В шаблонах письма надо оставить протокол, иначе ссылки в Thunderbird не открываются:
          ```

          <br><br>
          С уважением, администрация сайта <a href="//smart-lab.ru">sMart-lab.ru — блоги трейдеров и инвесторов. Форум акций. Котировки акций. Фундаментальный анализ акций. Трейдинг, инвестиции, экономика</a>

          ```
          заменить на 

          ```
          <a href=«https:
          //smart-lab.ru»>
          ```
    • Алексей
      06 июля 2017, 16:59

      Тимофей Мартынов, 

      гы, на работе заказчика тоже перевели на https, вторую неделю разгребаем `Mixed Content: The page at...`

      Желаю и Вам успехов :)

       

      (мне под виндой помогла вот такая утилита при подготовке к процессу переезда - http://home.snafu.de/tilman/xenulink.html#Download)

      • Leo
        06 июля 2017, 17:25
        перевели на https, вторую неделю разгребаем
        Алексей, простите, но почему не тестировать нормально? Куда спешить? Выкатываться в таком виде — крайне непрофессионально (тем более, что есть возможность быстро пофиксить грязными хаками, это явно не на две недели работы).
        • Алексей
          07 июля 2017, 06:28

          Lev, 

          1) бывают разные случаи (запущенности проекта).

          2) Как обычно, есть оптимальная точка: бюджет->.<- кол-во «ошибок». 

    • sortarray sortarray
      06 июля 2017, 18:06
      Тимофей Мартынов, Я глянул код, скорей всего не отображается потому что в адресе фрейма http прописан. Надо чтобы когда основная страница https, все остальные тоже были по https, не должен клиент загружать опасное соединение изнутри безопасного, обычно такое браузером блокируется, поэтому и не отображается, скорей всего

      вот этот кусок:

      <iframe width=«560» height=«315» src=....

      И, кстати, о багах. Перенаправление на https c http по дефолту не работает

      UPD так и есть, в консоль вываливается

      Mixed Content: The page at 'https://smart-lab.ru/blog/408135.php' was loaded over HTTPS, but requested an insecure resource 'http://www.youtube.com/embed/-_6Lefw47P4'. This request has been blocked; the content must be served over HTTPS.

      И там кроме этого другие ресурсы блочаться по той же причине
  • Krechetov
    06 июля 2017, 16:31
    видео заработало… вот бы на совсем :)
  • Сергей Подоляк
    06 июля 2017, 16:39
    Всё правильно. С определённого момента любой приличный бизнес-сайт должен строиться так, как будто его буквально завтра будут продавать крупному дяде. Это включает в себя и укрепление и унификацию базы данных, и подготовку к денежным и пол-уденежным сервисам, типа анализ и портфели акций для клиента сайта.
    Для этого и нужен https.
    Потом новый хозяин например РБК сделают Тимофею сотоварищи предложение от которого они не смогут отказаться. Например покупка 50% СмартЛаба, с оставлением директора на должности 1 год, с опционом на выкуп остальных 50% через год успешной работы.
    И получится тогда Тимофей Мартынов… снова будет работать… на РБК.
    Но это конечно при условии, что он будет слушать умных людей, будет беречь здоровье, и не будет портить себе здоровье и ауру нефтяными делами.
  • Mistrallis
    06 июля 2017, 16:45
    Обнаружил баг рубль начал крепнуть! А если серьезнее котировка отстаёт от реального графика, есслси его открыть.
  • fot1985
    06 июля 2017, 16:45
    При наведении курсора на ник пользователя перестало появляться окно с его профилем.
  • Sarmatae
    06 июля 2017, 16:54

    на почту пришли письма на подписанные блоги без ссылок на них, только текст (звёздочки я поставил) :

    «Пользователь ********* опубликовал в блоге «*************» новый топик — *************.


    С уважением, администрация сайта sMart-lab.ru — блоги трейдеров и инвесторов. Форум акций. Котировки акций. Фундаментальный анализ акций. Трейдинг, инвестиции, экономика»

  • AnarchoTrader
    06 июля 2017, 17:16
    Пропали просмотры под тропиками.
  • Leo
    06 июля 2017, 17:22
    Тимофей, сервер-то купили в итоге?))
  • Чёрный Трейдер
    06 июля 2017, 17:25
    А! Это к хттпс не относиться, просто вспомнил!
    Слева вверху на сайте висит реклама проги для айфона — «Официальный клиент для лучшего клуба трейдеров в сети Smart-Lab.ru!».
    Так вот — нажимаешь, не работает. Либо пишет, что такой проги нет в русском айтюнзе (на телефоне), либо предлагает айтюнз скачать (на компутере).
  • александр мишкер
    06 июля 2017, 19:39

    По умолчанию захожу на http. В списке блогов висят три одинаковых от Ник. Подлевских — 18:00, 18:02 и 18:15. Третий блог открывается и читается ОК, первые два выдают ошибку 404. Видимо, досточтимый Н.П. пытался запостить свой блог несколько раз, но удалось только с третьей попытки. Наверное, первые две ссылки надо стереть.

  • Николай Маржинов
    06 июля 2017, 22:13
    Блин, это же такой ад поддерживать большой проект на php! Сочувствую сейчас разработчикам. Буквально пару минут назад сам занимался этим грязным делом.
  • Юрий К.
    07 июля 2017, 07:58
    Не знаю, по той ли причине, но на некоторых страницах, кнопки вверх-вниз расположенные справа немного лагают. Кнопка по которой надо опуститься вниз — поднимает. Надо бы поправить.
  • Serg
    07 июля 2017, 08:20
    Ссылки из писем со смартлаба не открываются теперь в броузере.
  • waldhaber
    07 июля 2017, 09:57
    Привет Тимофей, со вчерашнего вечера и до сих пор не работает отображение профиля при наведении курсора на ник автора топика, на главной. Не знаю, может это у меня только, но предупредил если что!
  • tsm
    07 июля 2017, 10:09
    Перестала приходить рассылка от Романа Андреева
  • Vanzent
    11 июля 2017, 22:42
    В рассылке о появлении топика у пользователя ссылка на топик выглядит так — lsp://smart-lab.ru/blog/409073.php
    Поправьте протокол.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн